古語云：“亡羊補牢，猶未為晚”。隨著信息化的飛速發(fā)展，企業(yè)的信息安全正受到日益嚴(yán)峻的挑戰(zhàn)，近年來，很多大企業(yè)都遭受到了***而泄露數(shù)據(jù)的事故，更何況一些中小企業(yè)或個人。最近的iCloud信息泄露事件，不僅“坑到”了眾多好萊塢女星，也再一次在信息安全領(lǐng)域拉響了數(shù)據(jù)危機警報。

創(chuàng)新互聯(lián)是一家專業(yè)提供平江企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站設(shè)計、成都網(wǎng)站建設(shè)、H5響應(yīng)式網(wǎng)站、小程序制作等業(yè)務(wù)。10年已為平江眾多企業(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)的建站公司優(yōu)惠進(jìn)行中。

企業(yè)在受到***數(shù)據(jù)泄露后，尤其是對外部，如果不能正確處理，將導(dǎo)致事態(tài)惡化，并對企業(yè)品牌、業(yè)績造成二次打擊，更有甚者會帶來進(jìn)法律風(fēng)險。如何有效的處理，這其實是《信息安全管理實施指南》即ISO/IEC17799:2005的最后三個部分的內(nèi)容：信息安全事故管理、業(yè)務(wù)連續(xù)性管理和符合性。

  一、沒有外部安全管理團(tuán)隊協(xié)助

這是很多企業(yè)常犯的錯誤，對信息安全沒有引起足夠的重視。有時候數(shù)據(jù)泄露的嚴(yán)重程度超過了企業(yè)自身的處理能力，這時候企業(yè)最好能有外部安全服務(wù)團(tuán)隊的協(xié)助。尤其是對于一些中小企業(yè)，在自身技術(shù)和實力不夠的情況下，猶為重要。

這不僅僅是在事故發(fā)生后，需要外部安全管理團(tuán)隊的支持，在日常的信息安全管理過程中，也需要外部安全管理團(tuán)隊提供信息安全方面的建議和信息安全審計。這類服務(wù)應(yīng)當(dāng)在制定業(yè)務(wù)連續(xù)性/事件響應(yīng)計劃中就予以考慮。

二、沒有信息安全的唯一領(lǐng)導(dǎo)

數(shù)據(jù)泄露往往涉及公司多個部門，而各個部門都有自己的頭，一旦發(fā)生數(shù)據(jù)泄露等重大影響的信息安全事故，各部門各自為陣，效率低下。

企業(yè)應(yīng)該成立信息安全委員會，必須有一個首席信息安全官的職位，能夠在信息安全事件響應(yīng)計劃中起到總指揮的作用，策劃和協(xié)調(diào)整個災(zāi)難恢復(fù)過程，確保從公司高層到普通團(tuán)隊成員都隨時了解最新進(jìn)展。

三、缺乏溝通計劃

溝通是兩方面的，一方面是企業(yè)內(nèi)部的溝通，業(yè)務(wù)連續(xù)性計劃團(tuán)隊內(nèi)部的溝通。另一方面是企業(yè)外部的溝通，對消費者、用戶或公眾的溝通，尤其是媒體的溝通，這可能是對于公眾服務(wù)的企業(yè)適用。

缺乏透明的溝通機制會導(dǎo)致麻煩，而錯誤的溝通信息將導(dǎo)致錯誤的行動，這將延誤整個事件的處理速度并制造新的混亂。事件響應(yīng)團(tuán)隊成立后，每個人的職責(zé)都需要明確定義，并向外部顧問提供一個完整的聯(lián)系列表，這在業(yè)務(wù)連續(xù)性計劃中定義。

企業(yè)應(yīng)當(dāng)為數(shù)據(jù)泄露事件準(zhǔn)備一個資料詳實，切實可行的媒體溝通計劃?？焖儆行У拿襟w溝通能避免以訛傳訛式的報道。

四、謀定而后動

數(shù)據(jù)泄露事件往往需要在信息并不完整或者信息快速變化的情況下做出快速反應(yīng)。企業(yè)在數(shù)據(jù)泄露事件發(fā)生的同時就應(yīng)當(dāng)啟動應(yīng)急處理流程，等待全面掌握信息再采取行動的做法可能會錯過最佳時機。

五、不向消費者提供補救措施

消費者應(yīng)當(dāng)永遠(yuǎn)是信息安全事故的核心，這意味著在發(fā)生信息安全事故時，如數(shù)據(jù)泄露后企業(yè)應(yīng)當(dāng)盡可能通過各種渠道通知用戶采取正確措施保護(hù)個人隱私數(shù)據(jù)，以避免更大的損失。

六、有計劃但卻無法執(zhí)行

業(yè)務(wù)連續(xù)性計劃一旦建立后，應(yīng)初期測試并更新，以確保BCP的更新和有效。同時也需確保團(tuán)隊中的所有成員能夠知道這個計劃，能夠明確他們在業(yè)務(wù)連續(xù)性和信息安全中的責(zé)任，知道計劃啟動后他們的角色。這樣才能在信息安全事故發(fā)生時做到”養(yǎng)兵千日，用兵一時?！?/p>

七、沒有外部法律顧問

在發(fā)生嚴(yán)重的數(shù)據(jù)泄露事故時，有可能會接收到來自用戶或消費者的起訴。除非你的內(nèi)部法務(wù)部門對所有數(shù)據(jù)隱私相關(guān)法律了如指掌，委托一位公司外部的，有數(shù)據(jù)泄露相關(guān)經(jīng)驗的律師幾乎是必須的。

八、缺乏事故后的善后計劃

很多企業(yè)經(jīng)?！焙昧藗掏颂邸埃畔踩鹿侍幚硗戤吅?，應(yīng)當(dāng)制定一個善后計劃，一方面與顧客和利益相關(guān)者保持良好溝通，另一方面，尋找系統(tǒng)脆弱點并積極修復(fù)，避免類此事件再次發(fā)生。

與客戶和投資者分享你在信息安全技術(shù)和服務(wù)上的投入和改進(jìn)，這將有助于重建品牌和信任。

有興趣的朋友也可參考《信息安全管理實施指南》，進(jìn)一步發(fā)現(xiàn)自己企業(yè)中在這方面的漏洞，謝謝！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

文章名稱：信息安全事故中企業(yè)常犯的錯誤-創(chuàng)新互聯(lián)
網(wǎng)頁地址：http://weahome.cn/article/doisoo.html